Discussion:
Linuxissa vakava tietoturvaongelma
(too old to reply)
TJT2
2022-02-03 03:46:43 UTC
Permalink
Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
x x x
Kriittinen haavoittuvuus Unix polkit-komponentissa
Haavoittuvuus2/2022CVSS 7.8
Julkaistu 26.01.2022

Unix-järjestelmissä yleisesti käytössä oleva Polkit-komponentti mahdollistaa
käyttöoikeuksien korottamisen mielivaltaisesti. Haavoittuvuuden
hyväksikäyttö vaatii oikeuden suorittaa komentoja kohdejärjestelmässä.

Polkit (aikaisemmalta nimeltään PolicyKit) on käyttöjärjestelmäkomponentti,
jolla voi hallita eri käyttöoikeuksin varustettujen prosessien keskinäistä
kommunikaatioita. Polkit on alun perin kehitetty Linux-ympäristöihin, mutta
se tukee muitakin Unix-tyylisiä ympäristöjä, kuten Solaris- ja
BSD-käyttöjärjestelmiä.

Polkitin pkexec-komentokäskyssä on vuodesta 2009 alkaen ollut
ohjelmistovirhe, joka liittyy komentoriviparametrien hallintaan muistissa.
Virheen avulla käyttäjä voi korottaa käyttövaltuuksiansa pääkäyttäjätasolle.
Haavoittuvuudelle on annettu tunniste CVE-2021-4034. Haavoittuvuuden
hyväksikäyttö ei ole vaikeaa, minkä vuoksi se on luokiteltu kriittiseksi.
Polkit-komponenttiin liittyvän palvelun ei tarvitse olla käynnissä, jotta
haavoittuvuutta voidaan hyväksikäyttää
x x x
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_2/2022

Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta vikaa
noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit ovat
sittenkin turvallisempia?? Tai joku macOS tai mitä niitä onkaan???
--
--TJT--
Ari Saastamoinen
2022-02-03 04:58:55 UTC
Permalink
Post by TJT2
Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
Ehkä siksi, kun ei sinänsä mitään tavallisuudesta poikkeavaa. Vika
löytyy, siihen tehdään korjaus, ja sitten se korjaus tulee normaalien
päivitysten mukana.

Noita turva-aukkoja löytyy aina silloin tällöin säännöllisen
epäsäännöllisesti, niin ehkä jengi ei koe tarpeelliseksi aloittaa
keskustelua kaikista erikseen.
Post by TJT2
Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta
vikaa noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit
ovat sittenkin turvallisempia?? Tai joku macOS tai mitä niitä
onkaan???
Onhan noita vielä vanhempiakin aukkoja aina välillä löytynyt, vaikka
kyllä näin vanhat jo selkeässä vähemmistössä on. Mutta ei noista mikään
sen turvallisempi ole. Kaikista on korjattu kriittisiä aukkoja viimeisen
vuoden aikana, ja kaikkiin pitää asentaa päivitykset kun päivityksiä
tulee.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *
TJT2
2022-02-07 07:39:58 UTC
Permalink
Post by Ari Saastamoinen
Post by TJT2
Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
Ehkä siksi, kun ei sinänsä mitään tavallisuudesta poikkeavaa. Vika
Tavallista että viat löydetään vasta yli 10 vuotta myöhässä...??
Post by Ari Saastamoinen
löytyy, siihen tehdään korjaus, ja sitten se korjaus tulee normaalien
päivitysten mukana.
Pitänee sitten varmaankin käyttää kaikki linux-koneeni netissä ja katsoa
tuleeko niihin päivityksiä. Se kone, jolla toisinaan pelaan shakkia on kyllä
netissä, mutta muistaakseni siihen ei ole tullut mitään päivityksiä vuosiin
tjps.
Post by Ari Saastamoinen
Noita turva-aukkoja löytyy aina silloin tällöin säännöllisen
epäsäännöllisesti, niin ehkä jengi ei koe tarpeelliseksi aloittaa
keskustelua kaikista erikseen.
Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan kovasti
viruksia jos sekaantui niihin laittomiin kopioihin, ja demojenkin mukana
saattoi tulla.
Post by Ari Saastamoinen
Onhan noita vielä vanhempiakin aukkoja aina välillä löytynyt, vaikka
kyllä näin vanhat jo selkeässä vähemmistössä on. Mutta ei noista
mikään sen turvallisempi ole. Kaikista on korjattu kriittisiä aukkoja
viimeisen vuoden aikana, ja kaikkiin pitää asentaa päivitykset kun
päivityksiä tulee.
Vihaan päivityksiä! Eräs syy miksi käytän edelleenkin tätä winXPeetä on että
tähän ei tule mitään päivityksiä. Tai ilmeisesti tuo virustentorjunta
päivittää edelleenkin itse itsensä...
--
--TJT--
Ari Saastamoinen
2022-02-07 09:16:10 UTC
Permalink
Post by TJT2
Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan
Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)

Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
(Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)

Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
päässeet suojaamaan.

--
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *
TJT2
2022-02-09 06:21:16 UTC
Permalink
Post by Ari Saastamoinen
Post by TJT2
Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita
vastaavia ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli
aikoinaan
Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä
Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä tikullakaan jos
tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla muilla koneillani.
Post by Ari Saastamoinen
on jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
ACL? SEL? XYZ?
Post by Ari Saastamoinen
vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota
Vanillakerneli? Vaniljakerneli? Vaniljajäätelö? Sellaistakaan ei ole ollut
varaa ostaa pitkään aikaan... Hammaslääkäri tosin muutama vuosi sitten
suositteli, mutta en todellakaan syönyt kun kylmä sai hampaat vihlomaan niin
että hyvä kun ei taju lähtenyt...
Post by Ari Saastamoinen
monipuolisuutta)
Sitähän tuodaan erilaisilla graffoilla, itse suosin Cinnamonia. Mintissä
siis. Ja kai sekin on jonkinlaista monipuolisuutta kun joutuu kokeilemaan "6
miljoonaa" erilaista linuxia kunnes löytää sen itselleen sopivan.
Post by Ari Saastamoinen
Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
vähän, että matojen tekeminen siihen ei ollut kauhean
mielenkiintoista, kun leviämispotentiaali oli paljon huonompi kuin
Windowsien keskuudessa. (Vähän kuin oikeissa taudeissa vaikuttava
laumaimmuniteetti)
Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?
Post by Ari Saastamoinen
Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia
käytettiin pääsääntöisesti niin, että se käyttäjä oli aina myös
pääkäyttäjän oikeudet, niin ei siinä käyttiksessä olevat hienot
ACL-systeemin paljoa päässeet suojaamaan.
Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa käyttäjä.
USB-tikulle tosin on jossain vaiheessa ilmestynyt joku system-kansio, jota
en pääse katsomaan... vaikka ihan vain videoita olen siirtänyt telkkariin,
kun LEVELIä yms on paljon mukavampi katsoa isolta ruudulta. Käsittääkseni
noissa telkkareissakin on joku linux...!?
--
--TJT--
Ari Saastamoinen
2022-02-09 09:16:54 UTC
Permalink
Post by TJT2
Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä
tikullakaan jos tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla
muilla koneillani.
No mäkin tykkäsin kyllä Win7:sta enempi kuin kympistä. Mä en tajua,
että miksi ihmeessä ikkunoista on pitänyt kutistaa borderit yhden
pikselin kokoiseksi, ja miksi esim. värejä ei saa valita ihan täysin
vapaasti yms... Mutta varsinaisessa toiminnallisuudessa ei kyllä ole
seiskaan juurikaan eroa.
Post by TJT2
Post by Ari Saastamoinen
on jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
ACL? SEL? XYZ?
ACL = Access Control List - eli rajoitetaan eri käyttäjien pääsyä eri
resursseihin

SELinux = Secure Enhanced Linux - Modaus normaaliin Linuxkerneliin,
jolla sinnekin tuodaan huomattavasti monipuolisemmat ACL:ät. (Itse
asiassa jopa liian monipuoliset, kun tiedän hyvin monta tyyppiä, joiden
mielestä paras tapa konffata SELinux on sanoa sille "disabled", kun
pitäis opetella kauheasti, jotta sitä osais säätää.
Post by TJT2
Vanillakerneli? Vaniljakerneli? Vaniljajäätelö? Sellaistakaan ei ole
Vanillakerneli = Pätsäämätön, ns normaalikerneli.
Post by TJT2
Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?
Kyllä niitä Linuxiinkin on, mutta itse ainakin meinaan vielä pärjätä
ilman virustorjuntaohjelmistoa.
Post by TJT2
Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa
Ellet kirjaudu sisään Administrator -käyttäjätunnuksella, niin et
suoraan. Noissa uudemmissa Windowseissa yleisin käyttötapa on se, että
käyttäjä ei ole varsinainen pääkäyttäjä, mutta kuuluu sellaiseen
ryhmään, joka voi käynnistellä ohjelmia pääkäyttäjänä ilman salasanaa.
Ja kun noin tehdään, niin käyttis vain kysyy "Annatko ohjelman XYZ tehdä
muutoksia järjestelmään?" (Tai jotain tuon suuntaista. Ei ihan kauhean
kuvaava kysymys, kun tarkoitetaan "Haluatko käynnistää XYZ:n pääkäyttäjän
oikeuksilla?" ) No ehkä toi pelottaa enemmän taviksia, eikä ne ehkä
(niin paljoa) ihan sokkona vaan uskalla vastata kaikkiin kysymyksiin,
että kyllä.
Post by TJT2
isolta ruudulta. Käsittääkseni noissa telkkareissakin on joku
linux...!?
Aika monissa on, mutta ei kaikissa.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *
TJT2
2022-02-11 06:17:47 UTC
Permalink
Post by Ari Saastamoinen
Post by TJT2
Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä
tikullakaan jos tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla
muilla koneillani.
No mäkin tykkäsin kyllä Win7:sta enempi kuin kympistä.
Minä tykkään edelleenkin, onhan minulla yksi tuollainenkin kone, mutta se on
kannettava ja tällä hetkellä jossain muualla kuin nämä muut koneeni.
Post by Ari Saastamoinen
Mä en tajua,
että miksi ihmeessä ikkunoista on pitänyt kutistaa borderit yhden
pikselin kokoiseksi,
Ettei vaan liittyisi siihen, että windowsia yritetään tunkea kännyköihin ja
ties mihin nysväyslaitteisiin!?
Post by Ari Saastamoinen
ja miksi esim. värejä ei saa valita ihan täysin
vapaasti yms...
Minä en ole yrittänytkään säätää, kun ne säädötkin on jotenkin sotkettu.
Post by Ari Saastamoinen
Mutta varsinaisessa toiminnallisuudessa ei kyllä ole
seiskaan juurikaan eroa.
Onhan siinä, jos säätöjäkin joutuu etsimään sekä niistä uusista valikoista
että perinteisistä. Muistaakseni jo viime tai toissavuonna totesin, että
koko win10 näyttää aivan kuin olisi aloitettu grafiikoiden muuttaminen
kokonana erinäköisiksi, mutta sitten jätetty homma kesken, joten
lopputuloksena sekasotku jossa kahta ihan erilaista tyyliä sekaisin. Ja se
filemanageri on jotenkin rikki, monta kertaa käynyt että kun olen yrittänyt
kopioida tiedoston paikasta A paikkaan B, lopputuloksena on että joko
manageri (siis se windows explorer) sekoaa ja sammuu. Tällä XP:llä
tieodostot kopioituu sinne minne haluan. Ja muitakin ongelmia tuossa
win10:ssä mutta kun linux-ryhmä... vieläkös täällä sfnetissä on joku
win-ryhmä ja jos niin vieläkö siellä on elämää??
Post by Ari Saastamoinen
Post by TJT2
Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?
Kyllä niitä Linuxiinkin on, mutta itse ainakin meinaan vielä pärjätä
ilman virustorjuntaohjelmistoa.
Minkäläinen torjuntaohjelma tuohon Minttiin kannattaa asentaa?
Post by Ari Saastamoinen
Post by TJT2
Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa
Ellet kirjaudu sisään Administrator -käyttäjätunnuksella, niin et
suoraan. Noissa uudemmissa Windowseissa yleisin käyttötapa on se,
että käyttäjä ei ole varsinainen pääkäyttäjä, mutta kuuluu sellaiseen
ryhmään, joka voi käynnistellä ohjelmia pääkäyttäjänä ilman salasanaa.
Ja kun noin tehdään, niin käyttis vain kysyy "Annatko ohjelman XYZ
tehdä muutoksia järjestelmään?" (Tai jotain tuon suuntaista. Ei
ihan kauhean kuvaava kysymys, kun tarkoitetaan "Haluatko käynnistää
XYZ:n pääkäyttäjän oikeuksilla?" ) No ehkä toi pelottaa enemmän
Jaa, tuotakos se kysely tarkoittaa... En ole edes miettinyt vaan kiiresti
sohinut hiirellä myöntävän vastauksen.
Post by Ari Saastamoinen
taviksia, eikä ne ehkä (niin paljoa) ihan sokkona vaan uskalla
vastata kaikkiin kysymyksiin, että kyllä.
Post by TJT2
isolta ruudulta. Käsittääkseni noissa telkkareissakin on joku
linux...!?
Aika monissa on, mutta ei kaikissa.
Niin, minullakin on ollut aika monta telkkaria joissa ei mitään käyttistä,
mutta yritätkö sanoa että on olemassa myös windowsilla varustettuja
telkkareita, vai minkä käyttis niissä on?
--
--TJT--
Ari Saastamoinen
2022-02-11 10:23:00 UTC
Permalink
Post by TJT2
Niin, minullakin on ollut aika monta telkkaria joissa ei mitään
käyttistä, mutta yritätkö sanoa että on olemassa myös windowsilla
varustettuja telkkareita, vai minkä käyttis niissä on?
Windowstelkkariin en kyllä muista koskaan törmänneeni :)

En ole noihin telkkareihin jaksanut perehtyä, mulle riittää kun
kaukosäätimestä tapahtuu sitä mitä pitäiskin :)

Mutta joissain on joku ihan pelkästään sitä varten suunniteltuja
käyttiksiä, tai jos jotain valmiita (muita kuin Linuxeja), niin joku
Nucleus tai QNX vois olla kanssa aika vahva veikkaus. Ja ehkä jotain
Applen käyttistäkin saattais löytyä - ainakin jossain set-top -bokseissa
on sitäkin, niin miksei sitten suoraan telkkarissakin.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *
Heikki Kekki
2022-02-11 09:45:09 UTC
Permalink
On Wed, 9 Feb 2022 06:21:16 UTC, "TJT2"
Post by TJT2
Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa käyttäjä.
USB-tikulle tosin on jossain vaiheessa ilmestynyt joku system-kansio, jota
en pääse katsomaan... vaikka ihan vain videoita olen siirtänyt telkkariin,
kun LEVELIä yms on paljon mukavampi katsoa isolta ruudulta. Käsittääkseni
noissa telkkareissakin on joku linux...!?
Miksi videoita pitäisi siirtää telkkariin? Täällä pyörii Xubuntussa
minidlnaserver. Kun tv:sta valitsee lähteeksi MiniDLNA'n, on koko koneen
kiintolevyiltä löytyvä videokirjasto käytettävissä.
--
Hessu
Tapio Väättänen
2022-02-16 07:31:39 UTC
Permalink
Post by Ari Saastamoinen
Post by TJT2
Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan
Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)
Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
todistanut olevansa teknissti ylivoimainen NT-perillisiin verrattuna.
Tämän todistaa käyttö palvelimissa, joissa Windows on pudonnut kelkasta
käytännössä kokonaan. Toki Windows pyörii valtavassa määrässä palvelimia
myös pilvessä, mutta en nyt tänä päivänä näkisi mitään muuta syytä siihen,
kuin aikansa eläneet käytännöt.
Post by Ari Saastamoinen
Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
(Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)
No mikä sitä nyt suojaa? Entä maccia?
Post by Ari Saastamoinen
Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
päässeet suojaamaan.
Eikä paljoa pääse hienot ACL-systeemit suojaamaan nytkään.


Follarit .sotiin
--
sip:***@tav.iki.fi http://tav.iki.fi

"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Tapio Vaattanen
2022-02-04 12:46:54 UTC
Permalink
Post by TJT2
Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
x x x
Kriittinen haavoittuvuus Unix polkit-komponentissa
Haavoittuvuus2/2022CVSS 7.8
Julkaistu 26.01.2022
[..]
Post by TJT2
Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta vikaa
noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit ovat
sittenkin turvallisempia?? Tai joku macOS tai mitä niitä onkaan???
Se, että jokun haavoittuvuus on olemassa, ei tarkoita, että se olisi
yleisesti tiedossa – muutoinhan se olisi jo korjattu. Olemassaolostakaan
ei seuraa, että automaattisesti kaikki mailman systeemit olisivat
haavoittuvuudelle alttiita.

Testasin kymmenkunta systeemiä, joista yksikään ei ollut
haavoittuvainen:

-- --
$ ./cve-2021-4034--2022-01-25-0936.sh

This script (v1.0) is primarily designed to detect CVE-2021-4034 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Detected 'polkit' package: polkit-0.115-13.el8_5.1.x86_64
This polkit version is not vulnerable.
-- --

Sitä en tiedä miksi tästä ei puhuta enempää :-) Business as usual – ei
mitään nähtävää.
--
sip:***@tav.iki.fi http://tav.iki.fi

"Microsoft innovate! Give me a fucking break." -- Larry Ellison
Loading...